《个人信息保护法》逐条解读:个人信息处理规则(二)

发布时间:2022-08-08

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)个人信息处理者的名称或者姓名和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

根据第十四条的规定“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”,这就要求个人信息处理者在处理个人信息之前,有告知的义务。告知的程度,应该达到个人“充分知情”的地步。

第十七条规定了需要向个人告知的事项。在这些事项中,名称(姓名)和联系方式是一种常规告知。个人信息处理目的、处理方式,这一部分可能会成为一些企业重点考虑的问题,也可能是容易发生变更的事项。很多企业有最大限度处理个人信息的想法,但是目前要求明确处理目的和处理方式,无疑对之后个人信息处理的范围进行了限制。另外,经营模式的发展以及企业和技术的发展,会产生新的个人信息的处理目的和处理方式。

当已经告知的事项发生变化的时候,需要再次将变更部分告知个人。同时,根据第十四条的规定,需要个人再次同意。这就为一些产品或者服务的提供者提出了新的要求。

第十八条规定了向个人告知的例外情况,主要有两种例外情况:1、法律、行政法规(不包括部门规章、地方性规定等法律类文件)应当保密的或者不需要告知的;2、紧急情况,为了更高位阶的法律价值(生命健康、财产安全)无法及时告知的,可以在紧急情况消除后告知。这种情况不是不告知,只是可以暂缓告知义务。

 

第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

本条是关于个人信息的保存期限的问题。对这个问题,《个人信息保护法》并没有做出统一的规定,而是规定了一个确定时间的规则,即:为实现处理目的所必要的最短时间。

这条规则,如果遇到法律纠纷,其实是苛以了信息处理者一个举证义务:说明或者证明某种信息为什么需要保存一个月或者两个月,必要性在哪里?如果信息处理者无法说明或者证明“必要最短时间”的话,应该承担相应的法律责任。

第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

两个以上的个人信息处理者共同处理个人信息的情况非常多。有的是两个以上的经营者共同经营一款产品或者服务,有的是一个或者多个经营者在另外一个经营者提供的平台上经营,有的是两个以上的经营者达成协议共同处理个人信息,无论哪种情况,如果共同决定个人信息的处理目的和处理方式的,应该根据本条的规定,约定各自的权利和义务。

共同处理个人信息侵害个人权益的,属于共同侵权行为,应该承担连带责任。

第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

本条是规定受托处理个人信息者的义务问题。相比个人信息处理者的义务,受托处理个人信息者的义务要小的多:1、关于合同内容的要求,即约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;2、接受受托人对个人信息处理活动的监督;3、依照约定处理个人信息;4、合同无效或者终止的,返还或者删除个人信息;5、不得转委托。

因为相比个人信息处理者,受托处理信息者的义务小的多,所以有可能一些企业把自己定义为受托处理信息者,来躲避法定的义务。这个时候,我们需要根据实际情况来判决该企业究竟属于个人信息处理者还是受托处理信息者。如果一个企业既是个人信息处理者又是收图图哦处理个人信息者双重身份,那么就需要根据其具体的经营行为来具体判断承担什么样的法律义务。

第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

本条是关于个人信息处理者合并、分立、解散、被宣告破产等原因需要转移个人信息的,怎么怎么办的规则。需要指出的是,个人信息处理者合并、分立的时候未必需要转移个人信息。而在解散、被宣告破产的时候,一定需要转移个人信息。


COPYRIGHT (C) 2013 佳博体育(中国)体育官方网站(佳博体育集团)

版权所有 All Rights Reserved.. 苏ICP备15000003号-1 苏公网安备32130202081070号